Chiffrement au repos dans ElastiCache

Afin de vous aider à préserver la sécurité de vos données, Amazon ElastiCache et Amazon S3 fournissent différentes façons de restreindre l'accès à vos données lorsqu'elles se trouvent dans votre cache. Pour plus d'informations, consultez Sécurité des VPC Amazon et ElastiCache et Gestion des identités et des accès pour Amazon ElastiCache.

Le chiffrement au repos ElastiCache est une fonctionnalité permettant de renforcer la sécurité des données en chiffrant les données sur le disque. Il est toujours activé sur un cache sans serveur. Lorsque cette fonctionnalité est activée, elle chiffre les aspects suivants :

• Le disque lors des opérations de synchronisation, de sauvegarde et d'échange

• Sauvegardes stockées dans Amazon S3

Les données stockées sur des SSD (disques SSD) dans des clusters compatibles avec la hiérarchisation des données sont toujours chiffrées.

ElastiCache propose un chiffrement au repos par défaut (géré par le service) ainsi que la possibilité d’utiliser vos propres clés KMS AWS symétriques gérées par le client dans AWS Key Management Service (KMS). Lorsque le cache est sauvegardé, sous les options de chiffrement, choisissez d’utiliser la clé de chiffrement par défaut ou une clé gérée par le client. Pour de plus amples informations, veuillez consulter Activation du chiffrement au repos.

Note

Le chiffrement par défaut (géré par le service) est la seule option disponible dans les régions GovCloud (US).

Important

L’activation du chiffrement au repos sur un cluster Redis auto-conçu existant implique la suppression de votre groupe de réplication existant, après l’exécution de la sauvegarde et de la restauration sur le groupe de réplication.

Le chiffrement au repos ne peut être activé sur un cache que lorsqu’il est créé. Puisque du traitement est nécessaire pour chiffrer et déchiffrer les données, activer le chiffrement au repos peut avoir un certain impact sur les performances durant ces opérations. Vous devez référencer vos données avec et sans le chiffrement au repos pour déterminer l'impact sur la performance pour vos cas d'utilisation.

Conditions du chiffrement au repos

Il convient de garder à l'esprit les contraintes suivantes concernant le chiffrement au repos ElastiCache lorsque vous planifiez votre implémentation du chiffrement au repos ElastiCache :

• Le chiffrement au repos est pris en charge pour les groupes de réplication s'exécutant sous les versions 3.2.6 (EOL planifiée, consultez le Calendrier de fin de vie des versions Redis), 4.0.10 ou ultérieures de Redis.

• Le chiffrement au repos est pris en charge uniquement pour les groupes de réplication s'exécutant dans un Amazon VPC.

• Le chiffrement au repos est pris en charge uniquement pour les groupes de réplication exécutant les types de nœud suivants.

  • R6gd, R6g, R5, R4, R3

  • M6g, M5, M4, M3

  • T4g,T3, T2

  Pour plus d'informations, consultez Types de nœuds pris en charge

• Le chiffrement au repos est activé par la définition explicite du paramètre AtRestEncryptionEnabled sur true.

• Le chiffrement au repos peut être activé sur un groupe de réplication uniquement lorsque vous créez le groupe de réplication. Vous ne pouvez pas activer et désactiver le chiffrement au repos en modifiant un groupe de réplication. Pour plus d'informations sur l'implémentation du chiffrement au repos sur un groupe de réplication existant, consultez Activation du chiffrement au repos.

• Si un cluster utilise un type de nœud de la famille r6gd, les données stockées sur SSD sont chiffrées, que le chiffrement au repos soit activé ou non.

• L'option d'utiliser la clé gérée par le client pour le chiffrement au repos n'est pas disponible dans les régions AWS GovCloud (us-gov-east-1 et us-gov-west-1).

• Si un cluster utilise un type de nœud de la famille r6gd, les données stockées sur SSD sont chiffrées avec la clé KMS AWS gérée par le client choisie (ou le chiffrement géré par le service dans les régions GovCloud AWS).

L'implémentation du chiffrement au repos peut réduire la performance lors des opérations de sauvegarde et de synchronisation de nœud. Référencez le chiffrement au repos en comparaison avec l'absence de chiffrement sur vos propres données pour déterminer l'impact sur la performance pour votre cas d'utilisation.

Utilisation des clés gérées par le client depuis AWS KMS

ElastiCache prend en charge les clés AWS KMS symétriques gérées par le client (clé KMS) pour le chiffrement au repos. Les clés KMS gérées par le client sont des clés de chiffrement que vous créez, possédez et gérez dans votre compte AWS. Pour de plus amples informations, veuillez consulter Clés AWS KMS dans le Guide du développeur AWS Key Management Service. Les clés doivent être créées dans AWS KMS avant de pouvoir être utilisées avec ElastiCache.

Pour plus d'informations sur la façon de créer des clés racines AWS KMS, veuillez consulter Création de clés dans le Guide du développeur AWS Key Management Service.

ElastiCache permet l’intégration avec AWS KMS. Pour plus d'informations, veuillez consulter Utilisation d'octrois dans le Guide du développeur AWS Key Management Service. Aucune action n'est nécessaire de la part du client pour permettre l'intégration d'Amazon ElastiCache avec AWS KMS.

La clé de condition kms:ViaService limite l'utilisation d'une clé AWS KMS (clé KMS) aux demandes provenant de services AWS spécifiés. Pour utiliser kms:ViaService avec ElastiCache, incluez les deux noms ViaService dans la valeur de clé de condition : elasticache.AWS_region.amazonaws.com et dax.AWS_region.amazonaws.com. Pour de plus amples informations, veuillez consulter kms:ViaService.

Vous pouvez utiliser AWS CloudTrail pour suivre les demandes qu'Amazon ElastiCache envoie à AWS Key Management Service en votre nom. Tous les appels d'API vers AWS Key Management Service liés aux clés gérées par le client ont des journaux CloudTrail correspondants. Vous pouvez également voir les accords qu'ElastiCache crée en appelant l'API KMS ListGrants.

Une fois un groupe de réplication chiffré à l'aide d'une clé gérée par le client, toutes les sauvegardes pour le groupe de réplication sont chiffrées comme suit :

• Les sauvegardes quotidiennes automatiques sont chiffrées à l'aide de la clé gérée par le client associée au cluster.

• La sauvegarde finale créée quand le groupe de réplication est supprimé est également chiffrée à l'aide de la clé gérée par le client associée au groupe de réplication.

• Les sauvegardes manuellement créées sont chiffrées par défaut pour utiliser la clé KMS associée au groupe de réplication. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

• Copier une sauvegarde revient à utiliser une clé gérée par le client associée à la sauvegarde de la source. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

Note

• Les clés gérées par le client ne peuvent pas être utilisées lorsque vous exportez des sauvegardes vers le compartiment Amazon S3 sélectionné. Cependant, toutes les sauvegardes exportées vers Amazon S3 sont chiffrées à l'aide du Chiffrement côté client. Vous pouvez choisir de copier le fichier de sauvegarde vers un nouvel objet S3 et le chiffrer à l'aide d'une clé KMS gérée par le client, copier le fichier vers un autre compartiment S3 configuré avec le chiffrement par défaut à l'aide d'une clé KMS ou changer une option de chiffrement dans le fichier lui-même.

• Vous pouvez toujours utiliser des clés gérées par le client pour chiffrer des sauvegardes manuellement créées pour les groupes de réplication qui n'utilisent pas de clés gérées par le client pour le chiffrement. Avec cette option, le fichier de sauvegarde stocké dans Amazon S3 est chiffré à l'aide d'une clé KMS, même quand les données ne sont pas chiffrées sur le groupe de réplication original.

La restauration à partir d'une sauvegarde vous permet de choisir parmi les options de chiffrement disponibles, comme pour les choix de chiffrement disponibles lors de la création d'un nouveau groupe de réplication.

• Si vous supprimez la clé ou si vous la désactivez et révoquez les octrois pour la clé que vous avez utilisée pour chiffrer un cache, ce dernier devient irrécupérable. En d'autres termes, il ne peut pas être modifié ou récupéré après un échec du matériel. AWS KMS supprime les clés racines uniquement après une période d'attente d'au moins sept jours. Une fois la clé supprimée, vous pouvez utiliser une autre clé gérée par le client afin de créer une sauvegarde à des fins d'archive.

• La rotation automatique des clés préserve les propriétés de vos clés racines AWS KMS et n'a donc aucun impact sur votre capacité à accéder à vos données ElastiCache. Les caches Amazon ElastiCache chiffrés ne prennent pas en charge la rotation manuelle des clés, laquelle implique de créer une nouvelle clé racine et de mettre à jour toute référence à l’ancienne clé. Pour en savoir plus, veuillez consulter Rotation des clés AWS KMS dans le Guide du développeur AWS Key Management Service.

• Le chiffrement d’un cache ElastiCache à l’aide d’une clé KMS exige un octroi par cache. Cet octroi est utilisé pendant toute la durée de vie du cache. De plus, un octroi par sauvegarde est utilisé pendant la création de la sauvegarde. Cet octroi est retiré une fois la sauvegarde créée.

• Pour en savoir plus sur les octrois et les limites d'AWS KMS, veuillez consulter Limites dans le Guide du développeur AWS Key Management Service.

Activation du chiffrement au repos

Le chiffrement au repos est activé pour tous les caches sans serveur.

Lorsque vous créez un cluster auto-conçu, vous pouvez activer le chiffrement au repos en définissant le paramètre AtRestEncryptionEnabled sur true. Vous ne pouvez pas activer le chiffrement au repos sur les groupes de réplication existants.

Vous pouvez activer le chiffrement au repos lorsque vous créez un cache ElastiCache. Vous pouvez effectuer cette opération à l'aide de la AWS Management Console, de la AWS CLI ou de l'API ElastiCache.

Lorsque vous créez un cache, vous pouvez sélectionner l’une des options suivantes :

• Par défaut : cette option utilise le chiffrement au repos géré par service.

• Clé gérée par le client : cette option vous permet de fournir l'ID/ARN de clé d'AWS KMS pour le chiffrement au repos.

Pour plus d'informations sur la façon de créer des clés racines AWS KMS, veuillez consulter Création de clés dans le Guide du développeur AWS Key Management Service

Table des matières

• Activation du chiffrement au repos à l'aide de l'AWS Management Console
• Activation du chiffrement au repos à l'aide de l'AWS CLI

Activation du chiffrement au repos sur un cluster Redis auto-conçu existant

Le chiffrement au repos peut uniquement être activé lorsque vous créez un groupe de réplication Redis. Si vous disposez déjà d'un groupe de réplication sur lequel vous souhaitez activer le chiffrement au repos, procédez comme suit.

Pour activer le chiffrement au repos sur un groupe de réplication existant

1. Créez une sauvegarde manuelle de votre groupe de réplication existant. Pour de plus amples informations, veuillez consulter Réalisation de sauvegardes manuelles.

2. Créez un groupe de réplication en restaurant la sauvegarde. Sur le nouveau groupe de réplication, activez le chiffrement au repos. Pour de plus amples informations, veuillez consulter Restauration à partir d’une sauvegarde dans un nouveau cache.

3. Dans votre application, mettez à jour les points de terminaison pour pointer vers le nouveau groupe de réplication.

4. Supprimez l'ancien groupe de réplication. Pour plus d’informations, consultez Suppression d'un cluster ou Suppression d'un groupe de réplication.

Activation du chiffrement au repos à l'aide de l'AWS Management Console

Activation du chiffrement au repos sur un cache sans serveur (console)

Le chiffrement au repos est activé pour tous les caches sans serveur. Par défaut, une clé KMS détenue par AWS est utilisée pour chiffrer les données. Pour choisir votre propre clé AWS KMS, effectuez les sélections suivantes :

• Développez la section Paramètres par défaut.

• Choisissez Personnaliser les paramètres par défaut dans la section Paramètres par défaut.

• Choisissez Personnaliser vos paramètres de sécurité dans la section Sécurité.

• Choisissez Clé CMK gérée par le client sous le paramètre Clé de chiffrement.

• Sélectionnez une clé sous le paramètre Clé AWS KMS.

Activation du chiffrement au repos sur un cluster auto-conçu (console)

Lorsque vous concevez votre propre cache, le chiffrement au repos est activé à l’aide de la clé Par défaut pour les configurations « Dev/Test » et « Production » avec la méthode « Création facile ». Lorsque vous choisissez vous-même la configuration, effectuez les sélections suivantes :

• Choisissez la version 3.2.6, 4.0.10 ou ultérieure en tant que version de moteur.

• Cochez la case en regard de Activer pour l’option Chiffrement au repos.

• Choisissez Clé par défaut ou Clé CMK gérée par le client.

Pour vous familiariser avec la procédure étape par étape, consultez les éléments suivants :

• Création d'un cluster Redis (mode cluster activé) (console)

• Création d'un cluster Redis (mode cluster activé) (Console)

Activation du chiffrement au repos à l'aide de l'AWS CLI

Pour activer le chiffrement au repos lors de la création d'un cluster Redis à l'aide de l'AWS CLI, utilisez le paramètre --at-rest-encryption-enabled lors de la création d'un groupe de réplication.

Activation du chiffrement au repos sur un cluster Redis (cluster en mode désactivé) (CLI)

L'opération suivante crée le groupe de réplication Redis (cluster en mode désactivé) my-classic-rg avec trois nœuds (--num-cache-clusters), un nœud principal et deux réplicas en lecture. Le chiffrement au repos est activé pour ce groupe de réplication (--at-rest-encryption-enabled).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

Paramètres clés

• --engine : doit être redis.

• --engine-version : doit être 3.2.6, 4.0.10 ou supérieure.

• --at-rest-encryption-enabled : requis pour activer le chiffrement au repos.

Exemple 1 : cluster Redis (cluster en mode désactivé) avec des réplicas

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3 

Pour Windows :

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Pour plus d'informations, consultez les éléments suivants :

• Création d'un groupe de réplication Redis (mode cluster désactivé) à partir de zéro (AWS CLI)

• create-replication-group

 

Activation du chiffrement au repos sur un cluster pour Redis (cluster en mode activé) (CLI)

L'opération suivante crée le groupe de réplication Redis (cluster en mode activé) my-clustered-rg avec trois groupes de nœuds ou partitions (--num-node-groups). Chacun contient trois nœuds : un nœud principal et deux réplicas en lecture (--replicas-per-node-group). Le chiffrement au repos est activé pour ce groupe de réplication (--at-rest-encryption-enabled).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

Paramètres clés

• --engine : doit être redis.

• --engine-version : version 4.0.10 ou supérieure obligatoire.

• --at-rest-encryption-enabled : requis pour activer le chiffrement au repos.

• --cache-parameter-group : doit indiquer default-redis4.0.cluster.on ou l'un de ses dérivés afin de faire de ce cluster un groupe de réplication activé sur le mode.

Exemple 2 : un cluster Redis (cluster en mode activé)

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Pour Windows :

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Pour plus d'informations, consultez les éléments suivants :

• Création d'un groupe de réplication Redis (mode cluster activé) à partir de zéro (AWS CLI)

• create-replication-group

consultez aussi

• Sécurité des VPC Amazon et ElastiCache

• Gestion des identités et des accès pour Amazon ElastiCache